Расширение базовой системы аутентификации

Введение

В настоящее время в деятельности предприятий и организаций различного рода деятельности для автоматизации бизнес-процессов используются программные комплексы различной сложности. Требования к обеспечению защиты от несанкционированного доступа включают использование ролевой модели. Одним из механизмов защиты является парольная защита. В зависимости от типа обрабатываемых данных возможно использование средств аппаратной аутентификации вплоть до биометрических аутентификаторов.
В настоящее время одним из методов авторизации в информационных системах является парольная защита. Данный способ авторизации в системе не обеспечивает полноценной защиты от несанкционированного доступа, так как сотрудники зачастую не соблюдают требований к защите паролей, передавая их коллегам или оставляя парольные карточки на доступных местах. Также вероятно использование паролей, не отвечающих требованиям к сложности, отчего возрастает вероятность получение доступа к информационным ресурсам со стороны злоумышленников. Когда ценность информационного ресурса достаточно высока (например, при работе с серверами, межсетевыми экранами, платежными системами) требуется использование усиленных мер защиты при входе в систему.
Целью работы является изучение возможностей расширения системы аутентификации в информационных системах предприятий.
Задачи работы:
- анализ задач автоматизации, предполагающих необходимость использования систем аппаратной аутентификации;
- анализ основных требований к использованию систем аутентификации в части работы с электронными ключами и биометрическими системами.
Объект исследования: системы защиты информации.
Предмет исследования: программные и аппаратные системы аутентификации.
1. Анализ требований к аутентификации пользователей
1.1 Общая характеристика технологий аутентификации пользователей

Использование информационных систем в деятельности организаций предполагает необходимость использования систем разграничения доступа к информационным ресурсам, протоколирования действий пользователей. Одним из эффективных механизмов, обеспечивающих возможности разграничения доступа к подсистемам являются механизмы аутентификации, посредством которых система проводит распознавание пользователя и предоставление ему необходимых полномочий, настройка которых проводится администратором безопасности и соответствующего ресурса.
В качестве идентификатора пользователя выступают открытые данные, посредством которых система проводит распознавание учетных записей. Существуют системы программной идентификации, использующие текстовые идентификаторы («логины»), сертификаты, использующие криптографические средства для входа в систему. Существуют также аппаратные средства, использующие для распознавания пользователей системы работы с электронными ключами, а также биометрические системы. К идентифицирующим данным предъявляются требования уникальности для исключения возможных коллизий при определении пользовательских полномочий.
Пользовательские пароли представляют собой некоторое секретное количество данных, которые известны только пользователям и информационной системе. При совпадении пары «логин-пароль» система предоставляет доступ к режимам работы системы, доступны соответствующей учетной записи.
База данных пользователей парольной системы содержит данные учетных записей для всех пользователей данной парольной системы.
Парольная система представляет собой программно-аппаратный комплекс, реализующий технологии идентификации и аутентификации пользователей информационно системы на основе работы с одноразовыми или многоразовыми паролями. Как правило, функционирование такого комплекса производится совместно с подсистемами разграничения доступа и регистрации событий. В некоторых случаях парольная система может исполнять ряд дополнительных функций, в частности функций генерации и распределения кратковременных криптографических ключей.
Основными задачами проведения аутентификации пользователей в системе являются [3]:
- защита информационных ресурсов автоматизированной системы предприятия от несанкционированного доступа;
- определение подлинности учетной записи пользователя и назначение ей соответствующих прав;
- применение политики для соответствующего уровня доступа авторизовавшегося пользователя.
Основными видами аутентификации считаются [1]:
- Информационная компонента;
- предмет или средство;
- биометрическое устройство;
- пользовательская информация.
Вход под паролем предполагает аутентификацию пользователя в рамках использования информационного ресурса, соответственно пользователь несет ответственность за сохранность в тайне парольной информации.
По функциональному назначению вход в систему посредством использования пароля, как правило, применяется для контроля загрузки системы, контроля функционирования, с целью блокировки и контроля доступа. Для ввода пароля может применяться как клавиатура, так и более современные методы, например, технологии голосового набора или интерактивного набора пароля.
В целях контроля загрузки может проводиться процедура идентификации и аутентификации пользователя перед запуском системы, например, через встроенные средства BIOS. В данном случае выполнение загрузки системы может производиться только санкционированными пользователями.
Идентификация служит для сопоставления каждому пользователю (группе пользователей) соответствующей ему разграничительной политики доступа на защищаемом объекте. Для этого необходимо проведение идентификации пользователя в самостоятельном режиме – путем указания своего «имени» (идентификатора). Таким образом проводится проверка на наличие доступа текущего пользователя к системе. И в соответствии с введённым идентификатором для пользователя проводится сопоставление соответствующих прав доступа.
Основными задачами парольной защиты информации являются:
- защита информационных ресурсов автоматизированной системы предприятия от несанкционированного доступа;
- применение политики для соответствующего уровня доступа авторизовавшегося пользователя.
Вход под паролем предполагает аутентификацию пользователя в рамках использования информационного ресурса, соответственно пользователь несет ответственность за сохранность в тайне парольной информации.
По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования, с целью блокировки и контроля доступа. Для ввода пароля используется клавиатура или более современные методы, такие как голосовой набор или интерактивный набор пароля.
С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь.
Идентификация призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте. Для этого пользователь должен себя идентифицировать – указать своё «имя» (идентификатор). Таким образом проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.
Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.
Для решения задачи контроля функционирования вычислительной системы при помощи пароля выделяются:
1. Авторизация в системе (производится средствами операционной системы).
2. Установка пароля на запуск процесса (например, системы антивирусной защиты).
3. Контроль доступа к ресурсам файлового сервера.
4. Авторизация при доступе в приложения (реализуется средствами прикладного ПО).
При выявлении попыток несанкционированного доступа в форме ошибочного ввода идентификационной информации система может блокировать доступ к ресурсу на определенное время, отправлять сообщение администратору о попытках неуспешного входа в систему.
Установка паролей, как правило, проводится на следующих объектах:
- вход в BIOS;
- вход в операционную систему;
- вход в прикладные системы и средства администрирования;
- блокировка экрана при отсутствии активности пользователей в течение заданного промежутка времени;
- ввод пин-кодов при подключении устройств.
На каждом из уровней авторизации устанавливаются свои требования к сложности пароля и политике их смены.
Политика парольной защиты, используемая в автоматизированных системах организаций, должна соответствовать классу защищенности информационной системы. Для обеспечения гарантированной защиты информационных ресурсов возможна установка двухфакторной аутентификации, предполагающей дополнительный к вводу пароля механизм защиты (например, через ввод СМС-пароля).
Задачи обеспечения сложности пароля связаны с максимальным затруднением технологии их подбора злоумышленниками и предполагают необходимость:
- установки длины пароля от 8 символов;
- использования символов в различных регистрах;
- отказ от использования символов, идущих подряд и последовательности одинаковых символов.
Также необходимо обеспечивать периодическую смену паролей и соблюдение режима секретности паролей.
Современное развитие информационных технологий и уровень программного обеспечения достиг уровня, при котором использование только парольной защиты не является достаточной гарантией защищенности информационного ресурса.
Широкое распространение получают случаи взлома учетных записей пользователей Интернет-ресурсов. Причиной взлома учетной записи может быть:
- заражение вирусом;
- переход на поддельные сайты;
- использование пользователем одних и тех же паролей к разным ресурсам;
- недостаточная сложность пароля.
Для предотвращения компрометации учетных записей Интернета администраторы ресурсов включают дополнительные степени защиты (оповещение о действиях с паролями на сотовые телефоны, метод секретны кодовых слов и т.д.), но зачастую сами эти мероприятия увеличивают уязвимости учетных записей пользователей. Например, пользователи могут либо потерять сотовый телефон, сменить сим-карту, которая перейдет к другому владельцу, либо, не понимая смысл технологии использования секретных вопросов сделать его слишком простым.
Платежные системы в силу специфики своей работы, являются наиболее защищенными Интернет-сервисами в рамках технологии парольной защиты, для минимизации вероятности взлома учетных записей совершенствуют технологии парольной защиты следующими методами:
- выдача одноразовых паролей;
- двухфакторная аутентификация (пароль и СМС - сообщение, используется в системе Сбербанк-Онлайн);
- аутентификация на основе пароля и сертификата электронной подписи (используется в системах электронного документооборота, торговых площадках);
- использование специальных устройств для генерации паролей;
- блокирование учетной записи при нескольких ошибках авторизации.
Проблемами использования парольных механизмов защиты являются:
 отсутствие полных гарантий конфиденциальности паролей (пользователи могут передавать их друг другу);
 отсутствие гарантий контроля сложности и периодичности смены паролей;
 отсутствие гарантий наличия реакции системы на попытки взлома паролей, утечек парольной информации.
Таким образом, при увеличении количества программных продуктов, требующих аутентификации общая защищенность автоматизированной системы снижается.
Наиболее безопасным хранение паролей является при проведении их хеширования и последующего шифрования полученных сверток, т.е. при сочетании второго и третьего способов.
Введение перечисленных выше количественных параметров парольной системы позволяет рассмотреть вопрос о взаимосвязи стойкости парольной системы и криптографической стойкости шифров в двух аспектах: при хранении паролей в базе данных и при их передаче по сети. В первом случае стойкость парольной системы определяется ее способностью к противостоянием атакам злоумышленников, завладевших базой данных учетных записей и пытающихся провести восстановления паролей, и определяется скоростью "максимально быстрой" реализации используемой системы хеширования. Во втором случае параметры стойкости парольной системы определяются криптографическими свойствами алгоритма шифрования или хеширования паролей. Если потенциальный злоумышленник имеет возможности проведения перехвата передаваемых по сети преобразованных значений паролей, при выборе алгоритма необходимо обеспечение невозможности (с определенной вероятностью) восстановления пароля при наличии достаточного объёма перехваченных данных.